Windows 10 : 부팅 후 그룹 정책이 직접 적용되지 않고 나중에 성공

8

내 문제는 클라이언트가 새로 부팅 될 때 그룹 정책이 적용되지 않는다는 것입니다. 부팅 직후 클라이언트는 소스 "GroupPolicy (Microsoft-Windows-GroupPolicy)"및 이벤트 ID 1058 : "그룹 정책 처리에 실패했습니다. [...]"와 함께 오류 메시지를 이벤트 로그에 게시합니다. 세부 사항 탭에서 ErrorCode는 50이며 ERROR_NOT_SUPPORTED를 나타냅니다. 단순한 문제가 아닙니다. 정책이 실제로 제대로 적용되지 않은 경우입니다. 예를 들어 매핑 된 네트워크 드라이브가 없습니다. 잠시 후 "gpupdate"를 실행하면 정책이 정상적으로 적용됩니다. 매핑 된 네트워크 드라이브가 나타납니다.

문제를 재현 할 수있는 가장 간단한 시나리오 : 새로 설치된 Windows Server 2012R2에서 새로 만든 도메인 클라이언트는 새로 설치된 Windows 10 64 비트 컴퓨터입니다. 도메인은 하나의 도메인 컨트롤러로만 구성되며 다른 도메인과 관련이 없습니다.

이 오류 메시지는 Windows가 도메인의 Sysvol-share에서 .GPT 파일을 읽을 수 없다는 내용이므로 명령 프롬프트에서 동일한 파일에 액세스하려고했습니다. 실제로 부팅 직후 명령 프롬프트를 열면 다음과 같은 결과가 나타납니다.

C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.

1-2 분 정도 기다린 후 동일한 명령을 실행하면 디렉토리 목록이 나타납니다. 이 시점에서 gpupdate를 실행하면 정상적으로 작동합니다.

그룹 정책 설정 "컴퓨터 시작 및 로그온시 항상 네트워크 대기"를 "사용"으로 설정하고이 정책이 적용됨을 알고 있습니다. 동일한 정책 개체에 레지스트리 설정이 지정되어 있고 레지스트리를 확인할 때 클라이언트에는 지정된 설정이 있습니다.

관련이있는 다른 요소들 :

  • NTLM은 도메인에서 제한되어 있지만 중요하지 않습니다. 도메인을 활성화하고 정책을 업데이트하고 모든 시스템을 재부팅 한 후에도 증상은 동일하게 유지됩니다.
  • 서버가 DHCP를 사용하여 구성되었는지 또는 정적 구성으로 구성되는지는 중요하지 않습니다.
  • 도메인의 DNS 서버는 동적 업데이트를 지원하지 않습니다. 필요한 레코드는 수동으로 추가되었습니다 (C : \ Windows \ System32 \ config \ netlogon.dns에서).
  • 최대 절전 모드는 클라이언트에서 (를 사용하여 powercfg /h off) 비활성화되어 있으므로 각 부팅은 빠른 부팅이 아닌 전체 부팅입니다.
  • 정책 시작 정책 처리 대기 시간이 120 초로 설정되었습니다.
  • DC에 대한 연결이 제대로 작동합니다. 핑이 작동합니다. 클라이언트를 끄고 AD에서 내 계정을 비활성화하고 클라이언트를 켜면 클라이언트가 로그인하지 않습니다. 계정이 비활성화되었음을 즉시 알 수 있습니다.
  • 이 문제와는 별개로, 나는 평범한 것을 눈치 채지 못합니다.

그룹 정책 문제보다 SMB 문제인 것 같습니다. 서버 쪽에서 연결을 확인하면 흥미로운 내용이 표시됩니다. 처음 명령을 수행 할 dir \\domain.example.com\sysvol때 DC의 Microsoft Message Analyzer에 다음이 표시됩니다.

  1. 클라이언트는 DC의 포트 445에 대한 TCP 연결을 설정하고 ComNegotiation이 성공적으로 수행됩니다 (DialectRevision : 0x02FF).
  2. 그 직후 협상이 성공적으로 수행됩니다. DialectRevision은 0x0302입니다.
  3. 그 직후 클라이언트는 TCP RST (??)를 사용하여 TCP 연결을 닫습니다.

다음에 명령을 실행하고 오류가 발생하면 2 단계와 3 단계가 발생합니다.

명령이 작동하기 시작하면 1 단계와 2 단계가 발생하지만 클라이언트가 TCP RST를 보내는 대신 SessionSetup을 수행 한 다음 TreeConnect를 수행 한 다음 많은 SMB 채터가 발생합니다.

따라서 부팅 후 1-2 분이 지나야 클라이언트가 DC와 SMB를 올바르게 통신하지 못하는 것처럼 보이므로 그룹 정책 처리가 실패합니다.

아무도이 문제를 어떻게 디버깅하고 해결할 수 있는지 알고 있습니까?

group-policy  windows-server-2012-r2  windows-10 
주르 젠
소스
네트워크에 802.1x가 사용됩니까? DC의 주식을 ping하거나 액세스 할 수 있습니까? 클라이언트 시스템이 DC와 동일한 서브넷에 있습니까? 클라이언트의 IP 구성을 DHCP 기반으로 전환하면 어떻게됩니까? AD에서 암호가 만료되면 클라이언트에서 어떤 일이 발생합니까? 로그인 화면에서 자격 증명을 제공 한 후 즉시 변경하라는 메시지가 표시됩니까? 로그온하는 동안 연결을 감지하려고 했습니까?
sam_pan_mariusz

답변:

8

Windows 8부터 Microsoft는 이러한 "고속 부팅"개념을 도입했습니다. 여기서 OS를 종료하면 일반적인 최대 절전 모드에서 최대 절전 모드가 작동하는 것처럼 OS 메모리 공간을 최대 절전 모드로 전환합니다. 결과적으로 OS가 더 빨라지지만 시작시 컴퓨터 별 GP 처리를 비활성화하는 부작용도 있습니다. 이것이 현재보고있는 것일 수 있으며 Computer Configuration \ Policies \ Administrative Templates \ System \ Shutdown \ 빠른 시작이 필요합니다.

그래도 문제가 해결되지 않으면 네트워크 스택이 완전히 초기화되기 전에 컴퓨터의 GP 처리가 시작되는 네트워크 스택 타이밍 문제 일 가능성이 큽니다. XP 이후로 Windows 7부터 시작되었습니다. Microsoft는 컴퓨터 구성 \ 정책 \ 관리 템플릿 \ 시스템 \ 그룹 정책 \ 시작 정책 처리 대기 시간 아래에 GP를 시작하기 전에 GP 대기 시간을 늘릴 수있는 정책을 추가했습니다. 60 초로 설정하여 도움이되는지 확인하십시오.

대런

대런 마르 엘리아
소스
2
언급 한 GPO를 비활성화해도 빠른 시작은 비활성화되지 않습니다. 해당 설정에 대한 도움말 상태If you disable or do not configure this policy setting, the local setting is used.
Josh
정책 지연 설정은 현재 Specify startup policy processing wait timeServer 2012R2 상자에서 호출 됩니다.
버터
7

나는이 문제를 스스로 해결했다. 대한 참조 여기 내 문제를 해결 내용은 다음과 같습니다

첫째, NTLM의 모든 차단을 비활성화하면 동일한 증상이 발생한다는 것이 잘못되었습니다. 그것은 다른 증상을 가져 왔으며 동일한 효과를 나타 냈습니다 . NTLM 차단 정책이 적용되지 않으면 dir명령으로 인해 액세스 거부 오류가 발생했습니다. 그룹 정책은 여전히 ​​적용되지 않으며 이는 의미가 있습니다. SYSVOL에 여전히 액세스 할 수 없습니다.

약간의 웹 검색으로 인해 더 일반적인 문제가 있음을 알았습니다. 그러나. 분명히 Windows 10 클라이언트는 도메인 컨트롤러 (및 아마도 NETLOGON 공유)의 SYSVOL 공유에 액세스하는 데 문제가있을 수 있습니다. Windows 10에서 공유에 액세스하는 방식이 변경되어 문제가 발생할 수 있습니다. 해결 방법은 다음과 같이 Windows 10 클라이언트에 대해 "고급 UNC 경로"그룹 정책을 설정하여 이러한 공유에 대해 클라이언트에서 UNC 경로 강화를 비활성화하는 것입니다.

\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

(Windows 10 클라이언트에서 Netlogon 공유에 액세스하는 데 문제가있는 경우 해당 공유에 대해 세 매개 변수를 모두 0으로 설정하는 데 도움이 될 수 있습니다.)

자세한 내용 은 MS15-011에 대한 Microsoft 기사 를 참조하십시오. 이 설정을 변경하면 보안에 미치는 영향에 대한 자세한 설명과 정책 변경 방법에 대한 자세한 단계가 포함됩니다.

경고 : 위의 설정 으로 인해 MS15-011의 보안 문제에 대한 일부 또는 모든 보호 기능이 비활성화 됩니다. 맹목적으로 복사 / 붙여 넣기를 하지 말고 관련된 위험에 따라 정확한 결정을 내립니다. 또한이 문제는 향후 언젠가 해결 될 것입니다. 이 경우 MS15-011에 설명 된대로이 정책을 권장 값으로 설정해야합니다.

주르 젠
소스
0

레지스트리 변경 및 로컬 그룹 정책 변경을 포함하여 몇 가지 제안을 시도했지만 그 중 어느 것도 문제를 해결하지 못했습니다. 매핑 된 드라이브는 부팅시 여전히 X로 표시됩니다. gpupdate는 매번 수정하지만 사용자에게 추가 된 단계였습니다.

결국 수정 된 것은 네트워크 드라이브를 수동으로 매핑하여 각 드라이브의 GPO 항목을 대체하는 것이 었습니다. 연결을 끊고 교체 할 필요가 없으며 수동으로 매핑 한 것과 동일하게 매핑했습니다.

코리
소스
0

이 스레드를 찾은 다른 사람을 위해 참고로 상호 인증을 0으로 설정하여 UNC 강화 기능을 끄면 일부 보안이 비활성화됩니다. 우리는 win7 클라이언트와 동일한 문제를 겪고 있으며 Microsoft와 협력하려고했습니다. 그들은 버그라고 말했지만 지금까지 버그가 언제 해결되는지 추적 할 수있는 방법을 제공하지 않았습니다.

자세한 내용은이 다른 스레드를 참조 하십시오. -x64

샐리
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.